onderwerp: van: aan: datum:
beveiligingsincidenten websites Wethouder Kroon gemeenteraad 11 oktober 2011
Beveiliging websites gemeente Doetinchem Beveiliging en continuïteit maken een belangrijk onderdeel uit van onze bedrijfsvoering. Als basis maken wij gebruik van de Nen-norm rondom informatiebeveiliging en de eisen in de wet. Ook volgen wij de standaards die de overheid hanteert. Wat is lektober? Op 30 september 2011 heeft de VNG dit bericht naar alle gemeenten verstuurd: Vanaf morgen zal elke dag een ICT-privacylek worden blootgelegd en via de landelijke media openbaar gemaakt. Het is een initiatief van een freelancejournalist en de ICT nieuwssite Webwereld waarmee men wil aantonen dat er een betere beveiliging van overheidssites en ict nodig is. Het toont de kwetsbaarheid van DigiD aan in de ketens en de beperkte beveiliging van privégegevens op gemeentelijke websites. Voor zover nu bekend kan een hacker via een simpele ingang de beveiligde website binnenkomen. Successievelijk zal vervolgens elke dag een lek bij een overheidsorganisatie blootgelegd worden. De initiatiefnemers hebben aangegeven de betreffende organisatie in de gelegenheid te stellen om lekken te dichten voordat de publiciteit wordt gezocht. Op de website van webwereld www.webwereld.nl is alle informatie te vinden.
Wat is er gebeurd met de website gemeente Doetinchem? Echter buiten lektober om heeft GeenStijl zaterdag rond half 6 gepubliceerd dat een 50-tal gemeentes lek waren. Ook Doetinchem werd op deze lijst genoemd. Dit bericht was rond 19.00 uur bekend in de organisatie. Op dat moment is de keuze gemaakt de website www.doetinchem.nl uit de lucht te halen en eerst nader onderzoek te plegen. Dit onderzoek is zaterdagavond afgerond. Zondagmorgen om 12 uur is de website weer online gebracht en is het volgende persbericht geplaatst. Zaterdagavond 8 oktober is bekend gemaakt dat de beveiliging van circa 50 sites van verschillende Nederlandse gemeenten lek bleken te zijn. Dit werd gemeld door de websites GeenStijl en Webwereld. Tot deze niet goed beveiligde websites zou ook de website www.doetinchem.nl behoren. Om mogelijke risico’s te voorkomen, is besloten de website voor nader onderzoek uit de lucht te halen. Het onderzoek leerde dat de nieuwe website van de gemeente veilig was en is. Het gevonden lek zat in een oude website. De gemeente Doetinchem is einde 2010 overgegaan naar een nieuwe leverancier voor haar website. De voormalige websiteleverancier had op haar internetomgeving nog back-ups van het jaar 2010 staan van de website www.doetinchem.nl. De computerapparatuur waarop deze backup staat is inmiddels van het internet afgekoppeld.
J:\Advies\beheer internet\01. Beveiliging website\raadsvragen\2011-10-10_notitie_informeren gemeenteraad over beveiligingssituatie websites v2.docx Pagina 1 van 6
10 oktober 2011 beveiligingsincidenten websites
De website, die vanaf 2011 door de gemeente Doetinchem wordt gebruikt heeft de gesignaleerde problematiek niet. Daarom is besloten met de website weer ‘online’ te gaan. Alle informatie kan weer benaderd worden. Alleen transacties waarvoor DigiD moet worden gebruikt kunnen nog niet plaatsvinden. Dit wordt naar alle waarschijnlijkheid maandag weer hersteld De website van onze huidige leverancier SIM, is dus niet gehackt. Er zijn geen gegevens aangepast. Onze voormalige leverancier, de firma Gemeenteweb, bleek dus nog steeds een back-up van onze oude website op haar servers hebben staan. Dit had verwijderd moeten worden omdat wij daar geen klant meer zijn. Hierop zullen wij hen nog aanspreken. Tegelijkertijd is het moeilijk om te controleren of gegevens inderdaad verwijderd zijn. In de toekomst zullen wij hier meer aandacht voor hebben en hier formeel over corresponderen met leveranciers. De pers heeft gesuggereerd dat er privé gegevens op straat zijn komen te liggen. Wij hebben in deze bestanden alleen namen en interne telefoonnummers van medewerkers staan, die verantwoordelijk zijn voor de productinformatie op de website. In dit bestand staan geen privégegevens, ook niet van raads- en of collegeleden. De VNG heeft maandag 10 oktober het volgende over onze situatie gezegd: Er is geen aanleiding gevonden om te denken dat de veiligheid van de door SIM gehoste sites gecompromitteerd is. Om deze reden is ons advies aan deze gemeenten in overleg met SIM vast te stellen of en hoe de website weer online kan worden gebracht. De versies van de sites op de server die gehackt is, betroffen oude versies van Gemeenteweb software. Het verdient de aanbeveling deze datasets te analyseren.
Wanneer zijn e-transacties weer beschikbaar? Zaterdag heeft Logius, een onderdeel van het Ministerie van Binnenlandse Zaken, dat DigiD beheert, besloten om van alle 50 gemeenten de zgn. digikoppeling uit voorzorg uit de lucht te halen. Hierdoor is DigiD niet meer beschikbaar, en kunnen bepaalde producten niet meer via onze website worden aangevraagd. In de bijlage I ziet u welke producten nu niet beschikbaar zijn. Wij hopen dat de e-transacties eind deze week weer beschikbaar zijn. Maar zijn afhankelijk van Logius. Besluitvorming.doetinchem.nl (BIS) Het BIS is gebaseerd op een pakket geleverd door de firma GemeenteOplossingen. Het betreft dus eigenlijk een aparte website. Op zondag heeft wethouder Kroon een toelichting op het persbericht gegeven op TV Gelderland. Op basis van de berichtgeving vanuit de gemeente besloten hackers alsnog aan te tonen dat de situatie in Doetinchem niet veilig was. Op de website van GeenStijl werd vervolgens zondagavond wat later melding gemaakt van een onveilige situatie. Het was mogelijk om de teksten horende bij de kalenderitems op het BIS aan te passen. Uit veiligheidsoverwegingen is zondagavond 9 oktober om 23.00 uur besloten deze website uit de lucht te halen en het probleem nader te onderzoeken.
J:\Advies\beheer internet\01. Beveiliging website\raadsvragen\2011-10-10_notitie_informeren gemeenteraad over beveiligingssituatie websites v2.docx Pagina 2 van 6
10 oktober 2011 beveiligingsincidenten websites
Wat konden hackers precies aanpassen op het BIS Hackers hebben geen gegevens in de website gemuteerd. Het bleek mogelijk een tekst toe te voegen aan de URL. Deze tekst werd overgenomen in het zgn. kruimelpad die getoond wordt op de pagina. Dit kruimelpad laat zien op welke plek je op de website bent. Dus: vulde je URL www.besluitvorming.doetinchem.nl aan met tekst, bijvoorbeeld www.besluitvorming.doetinchem.nl/kalender/2011/10/13-vanavond achter de wieven an....etc.? Dan verschijnt deze tekst ook in het zgn. kruimelpad op het scherm. Als men bladerde tussen schermen verdween deze tekst weer. Voor een toelichting zie Bijlage I1. Wanneer was het BIS weer online? Met de leverancier is afgesproken dat deze mogelijkheid uit het systeem gehaald zou worden. Door miscommunicatie is de website maandagmiddag weer online gezet en zijn wij niet geïnformeerd. Het technische probleem was toen al opgelost. Wij waren echter niet tevreden en wilden extra aanpassingen. Daarom is later op de middag de website toch weer uit de lucht gehaald. Sinds dinsdag 11 oktober 13.30 uur is het BIS weer beschikbaar. Op het moment dat het BIS langere tijd niet beschikbaar kunt u de stukken in de fractiekamer inzien. Is er gevoelige informatie bereikt? Nee. Hackers hebben geen toegang gehad tot de actuele website van de gemeente of toegang tot het besloten gedeelte. Zijn de websites weer veilig? De leveranciers van zowel www.doetinchem.nl als www.besluitvorming.doetinchem.nl geven aan dat beveiliging een hoge prioriteit heeft en dat zij hun systemen hier regelmatig op controleren. Ook de VNG deelt het standpunt dat onze systemen voldoende veilig zijn om online te gaan. Er zijn op dit moment echter geen expliciete standaards wat voldoende veilig is voor een overheidsorganisatie. De beveiligingsorganisatie Govcert komt dinsdag 11 oktober met aanbevelingen. Deze zullen wij opvolgen. De beveiliging blijft continu aandachtspunt. Het is als het ware een permanente race tegen de klok met hackers. De servers waarop onze websites worden continue gevolgd door onze leveranciers, ongewoon veel bezoeken worden gemeld. Dit kan duiden op een inbraakpoging. Dit gebeurde in het verleden ook al, wij zullen nu aandringen op duidelijke communicatie hierover naar de gemeente. Wat kan ik zelf doen? Ga zorgvuldig om met uw wachtwoord van www.besluitvorming.doetinchem.nl. Binnenkort krijgt u via de griffie een instructie om uw wachtwoord te wijzigen, met daarbij tips voor het maken van een veilig wachtwoord Zijn er nog meer vragen? Hiermee hopen wij uw vragen beantwoord te hebben. Er is specifiek aandacht besteed aan de vragen die door door SGP/ChristenUnie en GroenLinks per mail zijn gesteld. De brief van D66 zal volgens de regels worden beantwoord.
J:\Advies\beheer internet\01. Beveiliging website\raadsvragen\2011-10-10_notitie_informeren gemeenteraad over beveiligingssituatie websites v2.docx Pagina 3 van 6
10 oktober 2011 beveiligingsincidenten websites
Vingerscans Er zijn ook vragen gekomen over de beveiliging van het bestand met vingerscans. Deze gegevens staan niet op onze website. In een aparte notitie bent u hierover geïnformeerd. Deze is nogmaals bijgevoegd.
J:\Advies\beheer internet\01. Beveiliging website\raadsvragen\2011-10-10_notitie_informeren gemeenteraad over beveiligingssituatie websites v2.docx Pagina 4 van 6
10 oktober 2011 beveiligingsincidenten websites
Bijlage I E-formulieren die niet bereikbaar zijn nu DigiD niet meer beschikbaar is voor onze website: 1. Deelname subsidie 2. Incidentele subsidie 3. Aan- afmelden hond 4. Schade na een ramp melden 5. Melding van slopen 6. Gebruik van de weg 7. GBA Uittreksel 8. Uittreksel Burgerlijke stand 9. Verhuizing doorgeven 10. Emigratie doorgeven 11. Taxatieverslag opvragen (voor burgers achter DigiD) De volgende produkten staan wel op onze website maar worden door een landelijke partij aangeboden. Deze werken ook met DigiD maar zijn nog wel beschikbaar. 1. Omgevingsloket.nl 2. Vakantie of verblijf buitenland melden 3. Langdurigheidtoeslag De gemelde niet werkende verwijzingen op de site door SGP/ChristenUnie worden verder uitgezocht. Dit staat los van bovengenoemde problemen.
J:\Advies\beheer internet\01. Beveiliging website\raadsvragen\2011-10-10_notitie_informeren gemeenteraad over beveiligingssituatie websites v2.docx Pagina 5 van 6
10 oktober 2011 beveiligingsincidenten websites
Bijlage II
url of webadres
kruimelpad
J:\Advies\beheer internet\01. Beveiliging website\raadsvragen\2011-10-10_notitie_informeren gemeenteraad over beveiligingssituatie websites v2.docx Pagina 6 van 6